Notizie
Un ransomware sviluppato in 4 ore dopo l’infezione. E’ stato Conti?

L’attacco è iniziato con un payload IcedID distribuito su un endpoint lato utente e ha portato all’esecuzione del ransomware Quantum solo tre ore e 44 minuti dopo. I ricercatori di DFIR Report lo hanno descritto come uno degli attacchi ransomware più veloci che hanno osservato fino ad oggi.
In un attacco ransomware Ryuk nell’ottobre 2020, gli attori della minaccia hanno iniziato a crittografare i dati della vittima solo 29 ore dopo la violazione iniziale, ma il tempo medio di permanenza globale per il ransomware è di circa 5 giorni, secondo il rapporto M-Trends 2022 di Mandiant.
Una volta che il ransomware è stato eseguito, tuttavia, i dati della vittima possono essere criptati in pochi minuti. Un recente rapporto di Splunk mostra che il ransomware ha bisogno di una media di 43 minuti per crittografare i dati, mentre il tempo di crittografia più veloce è inferiore a 6 minuti.
Il payload di IcedID nell’incidente del ransomware Quantum analizzato era contenuto in un’immagine ISO che è stata probabilmente consegnata via e-mail. Il malware era nascosto sotto forma di un file chiamato “documento“, che era un file LNK progettato per eseguire una DLL (IcedID).
Una volta che la DLL è stata eseguita, numerose attività di scoperta sono state processate sfruttando varie utilità integrate di Windows, ed è stata creata un’attività pianificata per ottenere la persistenza.
Circa due ore dopo la compromissione iniziale, Cobalt Strike è stato distribuito all’interno dell’ambiente della vittima, il che ha permesso agli attaccanti di iniziare l’attività “hands-on-keyboard“.
Successivamente, i criminali informatici hanno iniziato ad eseguire la ricognizione della rete, compresa l’identificazione di ogni host all’interno dell’ambiente e la struttura della directory attiva dell’organizzazione vittima.
Gli aggressori hanno anche impiegato Cobalt Strike per estrarre le credenziali e le hanno testate per eseguire attività di scoperta WMI in remoto. Le credenziali hanno permesso all’avversario di stabilire connessioni RDP (Remote Desktop Protocol) a un server di destinazione, sul quale hanno tentato di distribuire Cobalt Strike Beacon.
L’attore della minaccia si è poi collegato ad altri server all’interno dell’ambiente, sempre utilizzando RDP, dopo di che ha preparato la distribuzione del ransomware Quantum su ogni host. WMI e PsExec sono stati utilizzati per eseguire il ransomware in remoto.
L’attore della minaccia ha rilasciato una nota di riscatto in cui ha affermato che i dati sono stati rubati dall’ambiente, ma i ricercatori di The DFIR Report non hanno trovato alcuna prova di esfiltrazione palese dei dati. Tuttavia, IcedID o Cobalt Strike potrebbe essere stato utilizzato per la trasmissione dei dati.
Nasser Fattah, presidente del comitato direttivo del Nord America di Shared Assessments, ha notato che “la velocità con cui l’avversario è stato in grado di sfruttare una macchina compromessa è stata incredibilmente repentina“. Tuttavia, altri hanno sottolineato che questi tipi di attacchi sono sempre più comuni.
“Purtroppo, questo tipo di ransomware accelerato sta diventando sempre più comune“, ha detto il team di threat intelligence di Tanium a SecurityWeek. “Infatti, Conti ha sfruttato una tecnica simile tre settimane fa, utilizzando immagini ISO, così come il malware IcedID come vettore di infezione iniziale. Anche se è preoccupante, questo recente attacco ransomware Quantum non sta battendo alcun record e non sarà la prima, o l’ultima volta che vedremo qualcosa di simile“.
Notizie
iPhone, Triangulation: Kaspersky rilascia strumento di rilevamento del malware
Tempo di lettura: 2 minuti. Kaspersky, la società di cybersecurity, ha rilasciato uno strumento per rilevare se gli iPhone e altri dispositivi iOS sono infetti dal nuovo malware ‘Triangulation’.

Kaspersky, la nota azienda di cybersecurity, ha rilasciato uno strumento per rilevare se gli iPhone e altri dispositivi iOS sono infetti dal nuovo malware ‘Triangulation’. Questo malware è stato scoperto da Kaspersky sulla propria rete, segnalando che ha infettato diversi dispositivi iOS in tutto il mondo dal 2019.
La scoperta del malware ‘Triangulation’
Il malware ‘Triangulation’ è stato scoperto da Kaspersky sulla propria rete. L’azienda ha riferito che il malware ha infettato diversi dispositivi iOS in tutto il mondo dal 2019. Anche se l’analisi del malware è ancora in corso, Kaspersky ha notato che la campagna di malware ‘Operation Triangulation’ utilizza un exploit zero-day sconosciuto su iMessage per eseguire codice senza interazione dell’utente e con privilegi elevati.
Il funzionamento del malware
Questo permette all’attacco di scaricare ulteriori payload sul dispositivo per ulteriori esecuzioni di comandi e raccolta di informazioni. È importante notare che l’FSB, il servizio di intelligence e sicurezza della Russia, ha collegato il malware a infezioni di alti funzionari governativi e diplomatici stranieri.
Il nuovo strumento di scansione di Kaspersky
Per facilitare la rilevazione del malware, Kaspersky ha rilasciato uno scanner automatizzato ‘Triangulation’ per Windows e Linux. Questo strumento può analizzare i backup dei dispositivi iOS e rilevare la presenza del malware. L’azienda ha rilasciato lo scanner come build binarie per Windows e Linux e un pacchetto Python multipiattaforma disponibile tramite PyPI.
Come utilizzare lo scanner ‘Triangulation’
Per utilizzare lo scanner ‘Triangulation’, gli utenti devono prima creare un backup del loro dispositivo iOS. Successivamente, possono utilizzare lo scanner di Kaspersky per analizzare i backup. Lo scanner fornirà uno dei seguenti risultati di scansione: DETECTED, SUSPICION, o nessuna traccia di compromissione identificata.
L’importanza dello strumento di scansione
Sebbene la maggior parte delle persone che utilizzano il checker dovrebbe ottenere un risultato pulito, lo strumento di Kaspersky potrebbe essere utile per le persone che ricoprono ruoli critici in organizzazioni importanti, individui a rischio elevato di spionaggio sponsorizzato dallo stato, e coloro che lavorano in aziende o servizi che agiscono come hub di informazioni.
Notizie
Sfruttare l’IA per tradurre la conoscenza sul clima per tutti
Tempo di lettura: 2 minuti. Scopri come Climate Cardinals sfrutta l’IA per portare la conoscenza sul clima ai non anglofoni, accelerando l’azione climatica.

Climate Cardinals è un’organizzazione che si impegna a rendere le risorse climatiche più accessibili ai non anglofoni. Durante un viaggio in Iran, Sophia Kianni, la fondatrice dell’organizzazione, ha notato che, nonostante le temperature in Medio Oriente stiano aumentando due volte più velocemente della media globale, i suoi parenti sapevano quasi nulla delle sfide ambientali mondiali. Questo l’ha spinta a tradurre documenti cruciali, aiutando i suoi parenti a comprendere le minacce del cambiamento climatico e le opportunità per l’azione.
L’importanza dell’educazione climatica accessibile
L’educazione è fondamentale per l’azione climatica, ma esiste una barriera che continua a escludere miliardi di persone dalla conversazione: la lingua. Nonostante solo una persona su cinque parli inglese, più dei tre quarti delle pubblicazioni scientifiche vengono pubblicate solo in inglese. Anche i rapporti dell’Intergovernmental Panel on Climate Change (IPCC), che contengono le valutazioni più complete su come ridurre l’impatto del cambiamento climatico, sono disponibili solo nelle sei lingue ufficiali delle Nazioni Unite. Questo lascia fuori circa la metà della popolazione mondiale.
L’uso dell’IA per accelerare l’azione climatica
Google Cloud ha offerto a Climate Cardinals la possibilità di utilizzare Translation Hub, una piattaforma di traduzione self-service alimentata dall’IA. Translation Hub traduce automaticamente i documenti con l’IA, e poi permette di migliorare e modificare i risultati con traduttori umani. Può processare PDF con elementi di design e restituisce un documento tradotto con lo stesso design. Può anche tradurre il testo all’interno degli elementi di design.
Amplificare l’informazione climatica con Translation Hub
Oggi, Climate Cardinals utilizza Translation Hub da sola, e è diventata una parte essenziale del loro processo di traduzione. Di conseguenza, sono più produttivi che mai. Non più limitati da problemi di capacità, sono stati in grado di assumere progetti più grandi e più ambiziosi. Ciò include documenti lunghi fino a 200 pagine, che sarebbero stati difficili da gestire in passato.
Rendere l’informazione climatica un bene pubblico
Mentre continuano a rompere le barriere linguistiche e a diffondere informazioni vitali sul cambiamento climatico, è essenziale ricordare che la traduzione non è un fine in sé. Il loro lavoro prende significato dal suo potenziale di potenziare e educare le persone in tutto il mondo. E mentre il cambiamento climatico ci riguarda tutti, ha un effetto sproporzionato sulle comunità che sono spesso escluse dalla conversazione. Ecco perché è fondamentale garantire che le informazioni sul clima diventino un bene pubblico, accessibile a tutti, indipendentemente dalla lingua o dallo sfondo. Credono che l’IA possa aiutare a rendere ciò possibile.
Creare un mondo senza barriere linguistiche nell’informazione climatica
Con il potere dell’IA, possiamo creare un mondo in cui le barriere linguistiche nell’informazione climatica sono un fatto del passato. Non potrebbero farlo senza l’esperienza tecnica di Google Cloud. E Google Cloud non potrebbe farlo senza la passione, l’impegno comunitario e le connessioni di base di Climate Cardinals. Questo è ciò che rende il loro progetto congiunto veramente unico. Si tratta di una collaborazione internazionale, intergenerazionale e multilingue tra il settore pubblico e quello privato.
Notizie
Dati degli utenti i2VPN trapelati in un gruppo Telegram
Tempo di lettura: 2 minuti. I dati degli utenti di i2VPN, un servizio VPN gratuito, sono stati trapelati da hacker in un gruppo Telegram, sollevando preoccupazioni sulla gestione della sicurezza da parte dei fornitori di VPN.

I dati degli utenti di un servizio VPN gratuito sono stati trapelati da hacker in un gruppo Telegram. La violazione dei dati riguardava i2VPN e includeva informazioni riservate dei clienti, come indirizzi email e password degli amministratori. Considerando che i2VPN è un servizio VPN disponibile sia su Google Play che sull’App Store, si ritiene che la fuga possa potenzialmente impattare almeno mezzo milione di individui.
Dettagli sulla violazione dei dati di i2VPN
Gli hacker hanno condiviso l’URL del dashboard del servizio VPN, le credenziali dell’amministratore (indirizzo email e password) su un canale hacker di lingua araba insieme al messaggio “Ora vai a installare un servizio VPN gratuito e non sicuro”. Insieme alle informazioni, i cybercriminali hanno anche condiviso screenshot di quello che sembra essere il backend del dashboard dell’amministratore del VPN. Alcuni dati sensibili sono rivelati qui, tra cui i data center e i pannelli di abbonamento degli utenti che rivelano dettagli altamente personali come metodi di pagamento e date di scadenza.
Potenziali rischi per gli utenti
Nonostante l’entità del danno effettivo per gli utenti rimanga sconosciuta, l’incidente di i2VPN mostra la necessità di essere sempre vigili quando si tratta di sicurezza online, anche quando si pensa di essere protetti da un presunto VPN sicuro o strumento simile. Gli attori malintenzionati potrebbero utilizzare le informazioni violate per condurre campagne di phishing. Le credenziali personali potrebbero essere anche utilizzate per frodi di identità e attività illegali simili.
Consigli per gli utenti di i2VPN
Gli esperti suggeriscono a tutti gli utenti di i2VPN di cercare di migliorare la loro sicurezza online complessiva, soprattutto se notano attività insolite. Potrebbero voler considerare un altro servizio, o semplicemente cambiare le loro credenziali. È anche consigliato l’uso di software di sicurezza aggiuntivi come antivirus, gestori di password e app di rilevamento di perdite di dati per proteggersi da ulteriori minacce.
-
Inchieste2 settimane fa
Vinted: oltre le truffe c’è feticismo. Attenzione ai minori
-
Editoriali2 settimane fa
Facebook multata per 1,3 miliardi. L’Italia esce sconfitta … ancora una volta
-
Inchieste2 settimane fa
Vinted: beyond scams is fetishism. Beware of minors
-
Editoriali2 settimane fa
Robot e Diritti: il Confucianesimo Come Alternativa?”
-
Inchieste2 settimane fa
APT33, hacker iraniani che mettono a rischio la sicurezza globale
-
Inchieste1 settimana fa
APT42, il gruppo di cyber-spionaggio sponsorizzato dallo stato Iraniano: un’analisi dettagliata
-
Inchieste1 settimana fa
Agrius: l’Apt iraniano specializzato in wiper contro Israele
-
Editoriali6 giorni fa
Per uno spot da 4 soldi, il Garante Privacy ha escluso l’Italia dal tour Europeo di Chat GPT